最近在公司用 PHP 做一个小软件, 其中有几处要求对用户提交的 JS 代码校验其语法. 我安装了 v8js 扩展, 将提交的代码包裹在函数里"var x = function() { 用户JS代码 }", 用这样的方式来校验客户代码而不用去执行它.
经实验效果不错, 但是问题是, 上面的方式可能被聪明的用户利用, 引起注入的危险. 如客户输入代码"}; 某些危险代码", 这可能会造成大麻烦.
请问有什么办法仅仅校验 JS 代码的语法, 而不去执行 JS 代码吗?
v8js 扩展文档: http://cn2.php.net/manual/zh/class.v8js.php
最近在公司用 PHP 做一个小软件, 其中有几处要求对用户提交的 JS 代码校验其语法. 我安装了 v8js 扩展, 将提交的代码包裹在函数里"var x = function() { 用户JS代码 }", 用这样的方式来校验客户代码而不用去执行它.
经实验效果不错, 但是问题是, 上面的方式可能被聪明的用户利用, 引起注入的危险. 如客户输入代码"}; 某些危险代码", 这可能会造成大麻烦.
请问有什么办法仅仅校验 JS 代码的语法, 而不去执行 JS 代码吗?
v8js 扩展文档: http://cn2.php.net/manual/zh/class.v8js.php
试试 javascriptlint 或 jslint
跟踪代码发现,PHP的V8扩展中,代码内部是先进行JS校验,然后才开始执行的,所以只要修改代码,让他在校验完后就返回,即可实现仅检查语法而不执行代码了。
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
